Accueil
 > Rapports de TEC > Blogue de TEC > La voie de la gouvernance des données, grâce au Data Secu...

La voie de la gouvernance des données, grâce au Data Security

Écrit par : Jorge Garcia
Date de publication : juillet 18 2013

Le traitement approprié des données d'une organisation dépend de façon critique sur un certain nombre de facteurs, notamment la qualité des données, que je couvrais dans un de mes posts précédents cette année. Un autre aspect important de la gouvernance des données ce qui concerne la gestion des données dans une perspective de sécurité. Maintenant plus que jamais, la sécurisation des informations est crucial pour toute organisation. Cet article est consacré à fournir un aperçu et décrivant les étapes qui vous mettra sur la voie de la réalisation de ce que je voudrais appeler «gouvernance de l'information de sécurité."


Sécurité de l'information et protection des renseignements personnels
la discipline d'exploitation pour la gestion des données et de l'information comme un actif de l'entreprise touche.

Cela signifie que l'information comme un atout essentiel pour une organisation doit être traitée avec le soin nécessaire pour le garder en sécurité. Mais qu'est-ce que la sécurité de l'information signifie réellement?
L'importance de prendre les mesures nécessaires pour conserver les données ou la sécurité de l'information et protection des renseignements personnels, au besoin est évident pour la plupart des gens. Ce qui n'est pas évident est de savoir comment atteindre cet objectif, que la sécurité de l'information exige une initiative consciencieux et dévoués. Prenons un oeil à quelques-uns des facteurs pour assurer la sécurité de l'information.

Que sont les données / sécurité de l'information
la protection des systèmes d'information contre l'accès non autorisé ou modification des informations, que ce soit dans le stockage, la transformation ou de transit, et contre le déni de service aux utilisateurs autorisés ou la prestation de services aux utilisateurs non autorisés, y compris les mesures nécessaires pour détecter, documenter et contrer les menaces.

Alors, je vois les quatre éléments suivants comme essentiels au point de vue de la sécurité de l'information:

  • Disponibilité. Garantir le droit des données est disponible pour les bonnes personnes.
  • Confidentialité. Le maintien de sécuriser les données de l'exposition interne et externe indésirable.
  • Intégrité. Maintien de l'exactitude et la validité des données à tout moment.
  • Sécurité. Assurer données sont en sécurité contre les menaces internes et externes.

Trouver le juste équilibre entre la disponibilité et la confidentialité est importante. Une organisation doit assurer la sécurité de l'information de l'exposition indésirable, mais en même temps, s'assurer que l'information est disponible au bon utilisateur.

Pourquoi sécurité des données est-elle importante?
Les données sont un atout précieux pour une organisation à des fins à la fois des entreprises et des particuliers. Et avoir les méthodes appropriées pour maintenir l'information sûre en tout temps peut avoir un impact énorme sur le bien-être de l'organisation. Cela est particulièrement important lorsqu'il s'agit d'informations personnelles identifiables (PII) ainsi que des données sensibles de l'entreprise.
Du point de vue des entreprises, il ya trois principaux facteurs permettant d'assurer la sécurité des données devient un élément essentiel de toute initiative de gouvernance des données:

    Règlement
  • et le respect à l'égard de l'industrie, local, et la sécurité des données internationales et les règlements confidentialité (par exemple, la Loi Sarbanes-Oxley, la directive européenne sur la protection des données, la directive vie privée et communications électroniques).
  • Protection de la propriété intellectuelle disponibles sous diverses formes: brevets, marques, droits d'auteur, etc
  • Règlements d'accès aux données internes.

Et les organisations peuvent tirer de nombreux avantages d'avoir une initiative de gouvernance de la sécurité de l'information en place:

    Respect
  • efficace et vérifiable aux réglementations appropriées en matière de sécurité des données.
  • Évaluation de la sécurité et efficace de réponse aux risques
  • efficace des données à la résolution du problème de la sécurité des données.
  • Reddition de comptes adéquate pour toutes les activités liées à la sécurité des données.
  • Réduction des coûts d'exploitation
  • en atténuant les risques de sécurité des données et de réduire le nombre de problèmes réels à résoudre (les accès non autorisés, les fuites de données non désirées), et d'assurer le bon fonctionnement, diminuant ainsi le nombre de violations de sécurité et de confidentialité des données.

Cela permettra d'améliorer la confiance des utilisateurs internes et externes sur des données sûres de manipulation par l'organisation.
Bien sûr, la mise en œuvre d'une initiative de gouvernance de la sécurité de l'information dans le cadre d'un programme de gouvernance de données plus important sera donner aux organisations beaucoup plus de pilotes et des avantages, tels que moins de perturbations dans leurs opérations en raison de problèmes de sécurité.

Les défis d'avoir une approche inadéquate de la sécurité des données
D'autre part, ne pas avoir une initiative de gouvernance de sécurité des données en place ou fonctionnant avec une insuffisance on peut conduire à des inconvénients majeurs suivants:

  • Vulnérabilité des données des menaces internes et externes, à la fois malicieux et nonmalicious.
  • Augmentation de la probabilité de fuites de données en raison de la faiblesse des politiques de protection des données.
  • Conflits
  • entre les droits d'accès et des mesures de sécurité des données et des politiques.
  • Incapacité d'effectuer la gestion des risques de sécurité des données précises.

Risques et les problèmes de sécurité des données
Maintenant, dans une perspective de gestion des risques, je pense que, dans toute initiative de gouvernance de la sécurité de l'information il ya des risques et des enjeux liés à la la sécurité et la confidentialité des données:

  • Risques de sécurité des données. Ce sont des actions ou activités qui peuvent conduire à la perte, abus, mauvaise utilisation ou divulgation non autorisée de données sensibles potentiels. S'il n'est pas réglé, cela peut devenir un problème.
  • Question de la sécurité des données. Il s'agit d'une action qui conduit à une perte, abus, mauvais usage, ou exposition non autorisée d'informations sensibles.

Ainsi, dans le cadre d'une initiative globale de gouvernance de données, un programme de gouvernance de la sécurité de l'information a beaucoup à voir avec faire en sorte que les risques associés à la sécurité des données sont traitées avant qu'elles peuvent dégénérer à l'information grandes questions sécuritaires et compromettre la santé organisationnelle.

Une approche pour une information saine gouvernance de la sécurité
  • Une structure organisationnelle de la sécurité des données
  • Une stratégie organisationnelle de la sécurité des données
  • Politiques
  • qui définissent chaque aspect de la réglementation, le contrôle et la stratégie
  • Les normes de sécurité
  • basées sur les politiques antérieures et de la conformité
  • Un modèle d'évaluation des risques de sécurité des données
  • Le processus nécessaire (s) pour assurer la bonne exécution, le contrôle et la surveillance de tous les éléments (les politiques, les normes, les risques et les enjeux).

Mettre ces éléments en place vous mènera sur le chemin vers la réalisation d'une initiative de gouvernance de la sécurité des données en bonne santé.
Nous savons tous que plus souvent qu'autrement, il est plus que moyen de résoudre un problème. La même chose vaut pour les questions d'une initiative de gouvernance de la sécurité de l'information. Si nous parlons de COBIT (cadre de gouvernance des TI et de contrôle) ou FISMA (Federal Information Act of 2002 Gestion de la sécurité), et quelle que soit l'approche à la résolution des problèmes, il ya quelques points essentiels à prendre en compte lors du démarrage de ce type d'initiative:

  • Données est un pilote d'entreprise.
  • Données est un processus dynamique et non pas statique élément de votre organisation comme il se déplace dedans, dehors et au sein de votre entreprise.
  • Données peuvent avoir diverses formes structurées, non structurées, semi-structurées ou.
  • Données peuvent être considérées du point de vue technique et commerciale.
  • Données peuvent être vus à partir d'une perspective centrée sur l'utilisateur, afin de promouvoir la sensibilisation de la sécurité des données au sein de votre organisation.

Maintenant regardons quelques directives que vous devriez considérer lors du lancement d'un programme de gouvernance de la sécurité de l'information et un plan général à suivre du point de vue de la sécurité de l'information:

  • Identifier et définir.

    • Identifier. La première étape de ce processus consiste à la portée de l'initiative afin de se concentrer sur les questions les plus pertinentes et critiques à résoudre, sinon vous risquez de ne pas obtenir des résultats efficaces. Le processus d'identification peut potentiellement vous aider à définir le cas d'utilisation potentiel (ie objectif initial) et la portée initiale de votre stratégie. Vous devez vous poser quelques questions: Quels sont les risques les plus pertinentes ou les questions critiques concernant la sécurité de votre information? Si vous avez déjà un programme de gouvernance des données en cours, vous devrez modifier votre initiative en cours pour répondre à cette nouvelle exigence? Répartissez les questions en fonction de vos priorités et ensuite travailler à les vaincre.
    • Define. Une fois que vous avez identifié votre cas d'utilisation, vous devez définir le champ d'application, objectif (s) et les principales parties prenantes, ainsi que leurs rôles et responsabilités. Continuer sur une évaluation initiale de recueillir actuel état de la sécurité de l'information de votre organisation. Identifier (découvrir) et définir vos données sensibles et où il se trouve. Une fois que vous avez rassemblé tous les faits, élaborer votre plan de solution ou d'un cadre. Pour ce faire, vous devez définir une stratégie d'évaluation des risques et une nouvelle infrastructure de sécurité de l'information.

  • Développer et exécuter.
    • Développer. La prochaine étape consiste à élaborer des politiques de sécurité de l'information en fonction de vos besoins, ainsi que d'une stratégie de collaboration et d'information pour les intervenants et les utilisateurs. En outre, vous devez établir une stratégie de communication pour promouvoir la sensibilisation de la sécurité de l'information dans toute l'organisation. Et enfin, vous avez besoin de définir des métriques utiles pour mesurer les résultats. Comme il s'agit d'un processus continu et en constante évolution, vous avez la possibilité de voir ce qui fonctionne et de découvrir les points à améliorer.

    • Deploy. Configurer votre nouvelle infrastructure de sécurité de l'information. Pour ce faire, vous devez mettre vos politiques de travailler, de déployer les processus nécessaires pour les mettre en œuvre, déployer vos outils de suivi (indicateurs, les indicateurs de performance clés [KPI], etc), et d'éduquer les utilisateurs sur le nouvelles politiques et réglementations.

  • Surveiller et entretenir.
    • Monitor. Une fois que votre infrastructure de sécurité de l'information est en place, effectuer une surveillance de routine du processus et apporter des modifications et ajustements nécessaires en fonction des résultats.
    • Entretenir. Enfin, des audits internes et externes périodiques ainsi que des évaluations des risques fréquents après chaque modification.

Que doit-on attendre d'un programme de gouvernance de la sécurité de l'information

  • A données fiables d'évaluation des risques modèle en réduisant le nombre et la gravité des problèmes de sécurité de l'information
  • Un modèle fiable et agile pour assister à et de résoudre les problèmes qui se posent
  • Accroître la transparence et la sensibilisation de tous les éléments de sécurité de l'information (politiques, des normes et des niveaux de service)
  • Grand respect des règles de décision pour faciliter les audits
  • Des capacités améliorées de suivi des résultats et des améliorations

Sécurité de l'information d'auto-évaluation

Informations Sécurité et gestion des risques
Définir le niveau de soutien de votre organisation pour le suivant?

  1. Un cadre de sécurité des données complètes pour la gestion des restrictions de partage d'accès aux données et (gestion des mots de passe, le rôle et accès de configuration, profils d'utilisateur de l'utilisateur, etc.)

  2. Entièrement Support
    Plutôt d'accord
    n'étayent pas

  3. Un modèle d'évaluation des risques qui comprend l'évaluation des risques et des vulnérabilités liées à la fois à une mauvaise utilisation intentionnelle de données par des personnes malveillantes et / ou la divulgation par inadvertance par des utilisateurs autorisés.

  4. Entièrement soutien
    plutôt pour
    n'étayent pas

  5. Un plan bien élaboré pour atténuer les risques associés à intentionnels et involontaires des informations infractions.

  6. entièrement
    Support Plutôt d'accord
    n'étayent pas

  7. Suivi régulier ou de vérification de la conformité de la sécurité de l'information avec les normes, les politiques et les règlements.

  8. entièrement
    de soutien Plutôt d'accord
    n'étayent pas

  9. Établi des politiques et procédures en place pour assurer la continuité des services de données dans un cas de violation de l'information, de la perte, ou une autre catastrophe (y compris un plan de reprise après sinistre).

  10. soutenir pleinement
    plutôt pour
    n'étayent pas

  11. Établi des politiques mises en place pour orienter les décisions sur les échanges d'informations et de rapports, y compris le partage de données avec des instances externes (organisations gouvernementales) et / ou clients.

  12. Entièrement soutien
    plutôt pour
    n'étayent pas

  13. Procédures établies en place pour le partage de données afin d'assurer PII restent confidentielles et protégées contre toute divulgation non désirée.

  14. soutenir pleinement
    Plutôt d'accord
    n'étayent pas

    Procédures

  15. (comme la suppression de cellules et texte) mis en place afin de s'assurer qu'aucun PII sont rendues publiques dans les rapports publics.
  16. soutenir pleinement
    plutôt pour
    n'étayent pas

    Toutes les données
  17. utilisation dans les pratiques de déclaration reste en conformité avec les lois de confidentialité locales, régionales, fédérales et / ou international et règlements applicables.

  18. soutenir pleinement
    plutôt pour
    n'étayent pas

    Les intervenants

  19. et les utilisateurs sont régulièrement informés de leurs droits en vertu des lois fédérales et étatiques applicables régissant la confidentialité des données.

  20. soutenir pleinement
    Plutôt d'accord
    n'étayent pas


Accès à l'information et protection des renseignements personnels

  1. Établi des politiques et procédures en place pour limiter et contrôler l'accès aux données du personnel, limitant ce type de données peut être consulté par qui. Cela comprend différents niveaux d'accès en fonction des rôles et des groupes.

  2. soutenir pleinement
    Plutôt d'accord
    ne supportent pas

  3. Place des contrôles internes en place pour gérer l'accès aux données. Cela peut inclure des ententes de confidentialité, de l'éducation et de la formation, des projections de sécurité et la vérification de l'ensemble du personnel, y compris les utilisateurs avec un accès privilégié au PII.

  4. soutenir pleinement
    plutôt pour
    n'étayent pas

  5. Établi des politiques et procédures en place pour limiter et contrôler l'accès aux données des utilisateurs autorisés à faire en sorte que l'accès aux données est conforme aux conditions et est conforme à celles décrites dans le plan de gouvernance de l'information ou du programme de sécurité de l'information.


  6. soutenir pleinement
    plutôt pour
    n'étayent pas

    Les politiques et procédures

  7. en place pour veiller à ce que tous les environnements complémentaires à la production (tels que les essais et le contrôle de la qualité) sont conformes à l'utilisation des données masquées afin de s'assurer qu'aucune divulgation non désirée de PII se produit pendant les tests et procédures d'assurance de la qualité.

  8. soutenir pleinement
    plutôt pour
    ne supportent pas

 
comments powered by Disqus


©2014 Technology Evaluation Centers Inc. All rights reserved.